Adobe Reader: 50 Schwachstellen in 50 Tagen
MIt ausgeklügelten Fuzzing-Tests schießen sich die Sicherheitsforscher von Check Point auf den verbreiteten PDF-Viewer ein. Nach 50 Tagen können sie 53 kritische Sicherheitslücken als CVE melden.
Check Point Research hat es mit ausgeklügelten Methoden geschafft, in 50 Tagen dieselbe Anzahl von Sicherheitslücken im PDF-Viewer Adobe Reader aufzudecken. Das gelang der Sicherheitsfirma mithilfe einer als Fuzz Testing oder Fuzzing bezeichneten Technik. Durch die automatisierte Eingabe großer Mengen zufälliger Daten in ein System – mit dem Ziel, einen Absturz auszulösen – lassen sich mit Fuzzing Programmierfehler in Software, Betriebssystemen oder Netzwerken aufdecken. Das soll eine spätere Nutzung simulieren, bei der nicht immer nur plausible Daten zu verarbeiten sind. Tritt ein Fehler auf, kann ein Fuzz Tester oder Fuzzer genanntes Tool Hinweise auf die möglichen Ursachen liefern. Das Fuzzing wurde bereits 1989 an der University of Wisconsin-Madison entwickelt, aber im Laufe der Jahre zu einer immer ausgereifteren und effektiveren Technik für Softwaretests entwickelt.
Bei Checkpoint kam das Windows-Fuzzing-Framework WinAFL zum Einsatz gegen Adobe Reader, der zweifellos zu den weltweit verbreitetsten Softwareprodukten zählt. Über ihren Erfolg waren die Sicherheitsforscher selbst verblüfft: „Das ist durchschnittlich eine Schwachstelle pro Tag – nicht eben die übliche Geschwindigkeit bei dieser Art von Forschung.“ In einem Blogeintrag berichteten sie ausführlich über die angewandten Methoden.
AFL (American Fuzzy Lop) beschrieben sie als einen extrem solide implementierten Fuzzer mit einer ausgeklügelten Heuristik – „nachgewiesen äußerst erfolgreich darin, echte Bugs in echter Software zu finden“. Das für die Fehlersuche genutzte WinAFL ist ein Fork von AFL for Windows, geschaffen und gepflegt von Ivan Fratric (Google Project Zero). Laut Checkpoint eignet sich die Windows-Version durch ihren Instrumentationsstil besonders, wenn ausführbare Programme mit geschlossenem Quellcode das Ziel sind. „Wir fanden WinAFL besonders effektiv darin, Format-Bugs zu finden, insbesondere in komprimierten binären Formaten (Bilder / Videos / Archive)“, merkten die Forscher an.
Das Fuzzing-Setup bestand aus einer VM mit 8 bis 16 Rechenkernen und 32 GByte RAM mit Windows 10 (64 Bit) als Betriebssystem. Das Fuzzing erfolgte auf einem RAM-Laufwerk, wofür das ImDisk-Toolkit genutzt wurde. Aus Performancegründen wurde außerdem Windows Defender deaktiviert. Diese Strategie wurde mit der Entdeckung von insgesamt 53 kritischen Fehlern belohnt, die inzwischen als Common Vulnerabilities and Exposures (CVE) offengelegt sind. Einer der so ausgemachten Fehler wurde kurz zuvor bereits an Adobe gemeldet und offenbar tatsächlich schon aktiv ausgenutzt.
Die aufgedeckten Schwachstellen lösten eine heftige Debatte um Adobe Readerund seine Zukunft auf der Social-News-Website Hacker News aus. „Adobe Reader braucht seinen HTML5-Moment“, argumentierte Forumsteilnehmer Technion und spielte damit auf den Niedergang von Adobe Flash an. „Eine Alternative, die nicht nur ‚gut genug für die meisten Anwender‘, sondern tatsächlich besser ist.“
88796 akkus für Bose Soundlink Mini 2 Pack
MC-265360 515-1058-01 akkus für Amazon Kindle 4, 4G, 5, 6, D01100 + Tools
RI04 akkus für HP ProBook 450 455 470 G3 serie
061384 061385 akkus für BOSE SOUNDLINK Mini serie
L15D2K32 akkus für Lenovo YT3-X90 serie
ADP-330AB D Clevo P570WM P377SM-A 330W Gaming Netzteile/Adapters
Check Point Research hat es mit ausgeklügelten Methoden geschafft, in 50 Tagen dieselbe Anzahl von Sicherheitslücken im PDF-Viewer Adobe Reader aufzudecken. Das gelang der Sicherheitsfirma mithilfe einer als Fuzz Testing oder Fuzzing bezeichneten Technik. Durch die automatisierte Eingabe großer Mengen zufälliger Daten in ein System – mit dem Ziel, einen Absturz auszulösen – lassen sich mit Fuzzing Programmierfehler in Software, Betriebssystemen oder Netzwerken aufdecken. Das soll eine spätere Nutzung simulieren, bei der nicht immer nur plausible Daten zu verarbeiten sind. Tritt ein Fehler auf, kann ein Fuzz Tester oder Fuzzer genanntes Tool Hinweise auf die möglichen Ursachen liefern. Das Fuzzing wurde bereits 1989 an der University of Wisconsin-Madison entwickelt, aber im Laufe der Jahre zu einer immer ausgereifteren und effektiveren Technik für Softwaretests entwickelt.
Bei Checkpoint kam das Windows-Fuzzing-Framework WinAFL zum Einsatz gegen Adobe Reader, der zweifellos zu den weltweit verbreitetsten Softwareprodukten zählt. Über ihren Erfolg waren die Sicherheitsforscher selbst verblüfft: „Das ist durchschnittlich eine Schwachstelle pro Tag – nicht eben die übliche Geschwindigkeit bei dieser Art von Forschung.“ In einem Blogeintrag berichteten sie ausführlich über die angewandten Methoden.
AFL (American Fuzzy Lop) beschrieben sie als einen extrem solide implementierten Fuzzer mit einer ausgeklügelten Heuristik – „nachgewiesen äußerst erfolgreich darin, echte Bugs in echter Software zu finden“. Das für die Fehlersuche genutzte WinAFL ist ein Fork von AFL for Windows, geschaffen und gepflegt von Ivan Fratric (Google Project Zero). Laut Checkpoint eignet sich die Windows-Version durch ihren Instrumentationsstil besonders, wenn ausführbare Programme mit geschlossenem Quellcode das Ziel sind. „Wir fanden WinAFL besonders effektiv darin, Format-Bugs zu finden, insbesondere in komprimierten binären Formaten (Bilder / Videos / Archive)“, merkten die Forscher an.
Das Fuzzing-Setup bestand aus einer VM mit 8 bis 16 Rechenkernen und 32 GByte RAM mit Windows 10 (64 Bit) als Betriebssystem. Das Fuzzing erfolgte auf einem RAM-Laufwerk, wofür das ImDisk-Toolkit genutzt wurde. Aus Performancegründen wurde außerdem Windows Defender deaktiviert. Diese Strategie wurde mit der Entdeckung von insgesamt 53 kritischen Fehlern belohnt, die inzwischen als Common Vulnerabilities and Exposures (CVE) offengelegt sind. Einer der so ausgemachten Fehler wurde kurz zuvor bereits an Adobe gemeldet und offenbar tatsächlich schon aktiv ausgenutzt.
Die aufgedeckten Schwachstellen lösten eine heftige Debatte um Adobe Readerund seine Zukunft auf der Social-News-Website Hacker News aus. „Adobe Reader braucht seinen HTML5-Moment“, argumentierte Forumsteilnehmer Technion und spielte damit auf den Niedergang von Adobe Flash an. „Eine Alternative, die nicht nur ‚gut genug für die meisten Anwender‘, sondern tatsächlich besser ist.“
88796 akkus für Bose Soundlink Mini 2 Pack
MC-265360 515-1058-01 akkus für Amazon Kindle 4, 4G, 5, 6, D01100 + Tools
RI04 akkus für HP ProBook 450 455 470 G3 serie
061384 061385 akkus für BOSE SOUNDLINK Mini serie
L15D2K32 akkus für Lenovo YT3-X90 serie
ADP-330AB D Clevo P570WM P377SM-A 330W Gaming Netzteile/Adapters
0 Response to "Adobe Reader: 50 Schwachstellen in 50 Tagen"
Kommentar veröffentlichen